Компания FireEye обнаружила вирус MessageTap, созданный китайскими хакерами, которые финансируются правительством. Этот вредонос предназначен для компьютеров на базе Linux и может перехватывать с серверов SMSC (Short Message Service Center) SMS-сообщения в сетях операторов связи.
Инструмент содержит набор фильтров, с помощью которых можно настроить «прослушку» SMS по выбранным параметрам. Например, хакеры могут назначить слова-триггеры и получать SMS с определённым содержимым (например, с информацией о платежах онлайн-банке).
Известно, что этим вредоносом были заражены сети одного из операторов связи (какого именно, неизвестно). Вирус взаимодействовал напрямую с базой, которая содержит логи работы телекоммуникационного оборудования и подробную информацию о вызовах и сообщениях. В некоторых случая SMS перенаправлялись хакерам не сразу и не поштучно, а с задержкой крупными пакетами. Специалисты FireEye выяснили, что среди ключевых слов в MessageTap встречаются различные объекты и лица, которые представляют геополитический интерес для китайских властей: имена политических лидеров, названия военных и разведывательных организаций и политических движений.
MessageTap может перехватывать сообщения, отправленные на определённые номера или с заданных в параметрах номеров телефонов, а также в зависимости от IMSI-идентификаторов устройств. Этот инструмент был настроен на перехват сообщений от нескольких тысяч номеров и IMSI. Предполагается, что инструмент MessageTap был создан хакерской группировкой APT41, которая была образована относительно недавно. Эта группировка действует в политических целях и практикует атаки, нацеленные строго на извлечение финансовой выгоды от жертв взлома.
По сведениям Reuters, внедрение MessageTap в сети операторов связи может быть связано с действиями китайских властей по отслеживанию политической и общественной активности уйгуров — мусульманского национального меньшинства, уйгуров, проживающих преимущественно в провинции Синьцзян.
В августе 2019 года компания Google рассказала о сайтах, с помощью которых хакеры в течение нескольких лет получали доступ к содержимому айфонов, в том числе фотографиям, видео и переписке и прочему. Для взлома устройства достаточно, чтобы пользователь открыл заражённый сайт в Safari. За этой атакой стояли китайские власти, организовавшие слежку за мобильными устройствами уйгуров. Сайты были уйгурийскими, то есть на них содержалась информация, которая могла заинтересовать данный этнос. Китайские хакеры также запустили аналогичные сайты для взлома смартфонов на Android и компьютеров на Windows. Сколько людей пострадало от этой атаки, неизвестно.
В сентябре стало известно о том, что почти все существующие SIM-карты и смартфоны любых производителей уязвимы перед хакерским инструментом Simjacker. Стоимость GSM-модема, который применяется для атак, составляет всего 10 долларов. Simjacker используется для определения местоположения жертвы по координатам сотовой сети, оформления платных услуг, отправки или получения SMS-сообщений, а также для скачивания вредоносного софта на устройство. Злоумышленники пользуются другими известными эксплойтами сотовых сетей и следили за сотнями абонентов с разной интенсивностью: некоторым жертвам они отправляли всего несколько запросов в месяц, а другим — десятки ежедневно. Атака носила таргетированный характер. Чтобы наладить слежку за абонентом, злоумышленники отправляют на его телефон SMS-сообщение, адресованное служебной программе.
